REKLAM grubuna geçici üyelik

12

Exe'nin organizasyon genelinde çalışmasını kısıtlıyoruz. Ancak gerekçelere ve onaylara dayanarak 24 saat boyunca (belirli) AD gruplarına kullanıcı ekliyoruz.

Şu anda X saatinden sonra kullanıcıları bu AD gruplarından kaldırma işlemi manueldir. Bir şekilde otomatikleştirmeye çalışıyorum. Ama ben AD 2003 içinde bununla başa çıkmak için herhangi bir yerel yolu olup olmadığını merak ediyordum. Bir komut dosyası (powershell / vbs) yazmanın tek yolu bu mu?

active-directory  groups 
Anoop
kaynak

Yanıtlar:

23

Tüm Etki Alanı Denetleyicilerinizin Windows Server 2003 veya üstü olduğu varsayıldığında , bunu herhangi bir komut dosyası olmadan yerel Active Directory'nin dinamik nesneleri işleviyle yapabilirsiniz.

Bir kullanıcı hesabının "Bob" 24 saat boyunca "Muhasebe" grubunda olması gerektiğini varsayalım.

  • Bir "Muhasebe 24 Saatte Bob" grubu oluşturun ve entry-TTLoluşturma sırasında 24 saat (grubun Active Directory'de kalmasını istediğiniz süre) belirtin .

  • "Muhasebe 24 Saatte Bob" u "Muhasebe" grubunun bir üyesi olarak ekleyin

  • "Bob" kullanıcı hesabını "24 Saat Muhasebe Bob" grubunun bir üyesi olarak ekleyin

"Bob" kullanıcı hesabının bir sonraki oturum açmasının ardından "Muhasebe 24 Saatte Bob" grubunun iç içe grup üyeliği aracılığıyla "Muhasebe" grubuna "Muhasebe" grubunun bir üyesi olacaktır. 24 saatin sonunda tüm etki alanı denetleyicileri "24 Saat Muhasebe Bob" grubunu çöp toplayacak ve "Bob" artık "Muhasebe" üyesi olmayacak.

İşin püf noktası, dinamik olmayan nesnelerin oluşturulduktan sonra dinamiğe dönüştürülememesidir. Grup iç içe yerleştirmeyi kullanmak, bu örnekte bu sınırlamanın üstesinden gelmenizi sağlar.

Grubu oluşturmak için "Active Directory Kullanıcıları ve Bilgisayarları" dışında bir araç kullanmanız gerekir, çünkü entry-TTLgrubun oluşturulma zamanını ayarlamanız gerekir . Bu blog girdisinde komut alternatif olarak, sadece kullanabilirsiniz, (o Kullanıcı nesneleri oluşturmak için oluşturuldu) bir başlangıç yeri olması veya ldifdeya csvdeda oluşturma yapmak.

Evan Anderson
kaynak
5
Kutsal saçmalık, bu bilmediğim bir şey. Ve 10 yaşında.
mfinni
1
@mfinni - Hiç üretimde kullanmadım. Yine de tam olarak ilan edildiği gibi çalışır. Çok temiz, ha?
Evan Anderson
6
MDMarra
2
@EvanAnderson Sen bir korkusun.
Ryan Ries
2
Çok kibarsınız. Bu blogdaki özellik hakkında gerçekten iyi bir arka plan var ( bu adam gerçekten bir AD badass - sadece ürünü çok kullanıyorum): blogs.chrisse.se/2012/11/28/…
Evan Anderson
6

Bunu birkaç şekilde halledebilirsiniz, hiçbiri AD'ye özgü değildir:

  1. Bir komut dosyası yazın ve görev zamanlayıcısına koyun. Geçerli listeyle ağın herhangi bir yerinde bir metin dosyasını veya CSV'yi sorgulamasını sağlayın. Çalışma zamanında bu listede olmayan kişileri kaldırmasını sağlayın.

  2. Gruba kullanıcı eklemek ve X saat sonra otomatik olarak kaldırmak için bir çalışma kitabı oluşturmak için System Center Orchestrator gibi bir şey kullanın.

  3. İnsanları manuel olarak çıkarmak için bir Outlook hatırlatıcısı oluşturun :)

MDMarra
kaynak
1
FYI - AD yönetimine yardımcı olmak için Quest'in ActiveRoles sunucusunu kullanıyoruz. Yardımcı olmak için eklenmiş küçük bir iş akışı aracı ile birlikte yerleşik yeteneği vardır.
uSlackr
Seçenek 1 kullanarak ve geçerli kullanıcıların bir dosya ile zamanlanmış bir PowerShell komut dosyası oluşturmak düşünüyorum bu çözmek için iyi bir yoldur.
jer.salamon
5
Dinamik nesnelerin siren şarkısına direnemezsiniz ... Dinamik nesneler!
Evan Anderson
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.